Bérlők közötti szinkronizálás konfigurálása a PowerShell vagy a Microsoft Graph API használatával

Ez a cikk a bérlők közötti szinkronizálás Microsoft Graph PowerShell vagy Microsoft Graph API használatával történő konfigurálásához szükséges legfontosabb lépéseket ismerteti. Ha konfigurálva van, a Microsoft Entra ID automatikusan kiépítja és törli a B2B-felhasználókat a célbérlében. A Microsoft Entra Felügyeleti központ részletes lépéseit a bérlők közötti szinkronizálás konfigurálása című témakörben találja.

Előfeltételek

Forrásbérl

• Microsoft Entra ID P1 vagy P2 licenc. További információ: Licenckövetelmények.
• Biztonsági Rendszergazda istrator szerepkör a bérlők közötti hozzáférési beállítások konfigurálásához.
• Hibrid identitás Rendszergazda istrator szerepkör a bérlők közötti szinkronizálás konfigurálásához.
• A cloud application Rendszergazda istrator vagy application Rendszergazda istrator szerepkörrel felhasználókat rendelhet hozzá egy konfigurációhoz, és törölheti a konfigurációt.
• Globális Rendszergazda istrator szerepkör a szükséges engedélyekhez való hozzájáruláshoz.

Célbérl

• Microsoft Entra ID P1 vagy P2 licenc. További információ: Licenckövetelmények.
• Biztonsági Rendszergazda istrator szerepkör a bérlők közötti hozzáférési beállítások konfigurálásához.
• Globális Rendszergazda istrator szerepkör a szükséges engedélyekhez való hozzájáruláshoz.

1. lépés: Bejelentkezés a célbérbe

Célbérl

PowerShell

1. Indítsa el a PowerShellt.

2. Ha szükséges, telepítse a Microsoft Graph PowerShell SDK-t.

3. Kérje le a forrás- és célbérlõk bérlőazonosítóját, és inicializálja a változókat.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. A Csatlakozás-MgGraph paranccsal jelentkezzen be a célbérbe, és járuljon hozzá a következő szükséges engedélyekhez.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

Ezek a lépések ismertetik a Microsoft Graph Explorer használatát, de használhatja a Postmant vagy egy másik REST API-ügyfelet is.

1. Indítsa el a Microsoft Graph Explorer eszközt.

2. Jelentkezzen be a célbérbe.

3. Válassza ki a profilját, majd válassza a Hozzájárulás az engedélyekhez lehetőséget.

   

4. Hozzájárulás a következő szükséges engedélyekhez.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Kérje le a forrás- és célbérlők bérlőazonosítóját. A cikkben ismertetett példakonfiguráció a következő bérlőazonosítókat használja.

   • Forrásbérlő azonosítója: {sourceTenantId}
   • Célbérlő azonosítója: {targetTenantId}

2. lépés: Felhasználói szinkronizálás engedélyezése a célbérlelőben

Célbérl

PowerShell

1. A célbérlőben a New-MgPolicyCrossTenantAccessPolicyPartner paranccsal hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a célbérlő és a forrásbérlő között. Használja a forrás-bérlő azonosítóját a kérelemben.

   Ha megjelenik a hiba New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, lehet, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Az Invoke-MgGraphRequest paranccsal engedélyezheti a felhasználók szinkronizálását a célbérlében.

   Ha hibaüzenet jelenik Request_MultipleObjectsWithSameKeyValue meg, lehet, hogy már rendelkezik egy meglévő szabályzattal. További információ: Tünet – Request_MultipleObjectsWithSameKeyValue hiba.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. A Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization paranccsal ellenőrizzeIsSyncAllowed, hogy Igaz értékre van-e állítva.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. A célbérlőben a Create crossTenantAccessPolicyConfigurationPartner API használatával hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a célbérlő és a forrásbérlő között. Használja a forrás-bérlő azonosítóját a kérelemben.

   Ha hibaüzenet jelenik Request_MultipleObjectsWithSameKeyValue meg, lehetséges, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Request_MultipleObjectsWithSameKeyValue hiba.

   Kérelem

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   Válasz

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Az identitySynchronization API-val engedélyezheti a felhasználószinkronizálást a célbérlényben.

   Ha hibaüzenet jelenik Request_MultipleObjectsWithSameKeyValue meg, lehet, hogy már rendelkezik egy meglévő szabályzattal. További információ: Tünet – Request_MultipleObjectsWithSameKeyValue hiba.

   Kérelem

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   Válasz

   HTTP/1.1 204 No Content
   

3. lépés: Meghívások automatikus beváltása a célbérlelőben

Célbérl

PowerShell

1. A célbérlőben az Update-MgPolicyCrossTenantAccessPolicyPartner paranccsal automatikusan beválthatja a meghívókat, és letilthatja a bejövő hozzáférésre vonatkozó hozzájárulási kéréseket.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. A célbérlőben az Update crossTenantAccessPolicyConfigurationPartner API használatával automatikusan beválthatja a meghívókat, és letilthatja a bejövő hozzáférésre vonatkozó hozzájárulási kéréseket.

   Kérelem

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   Válasz

   HTTP/1.1 204 No Content
   

4. lépés: Bejelentkezés a forrásbérbe

Forrásbérl

PowerShell

1. Indítsa el a PowerShell-példányt.

2. Kérje le a forrás- és célbérlõk bérlőazonosítóját, és inicializálja a változókat.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. A Csatlakozás-MgGraph paranccsal jelentkezzen be a forrásbérbe, és járuljon hozzá a következő szükséges engedélyekhez.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Indítsa el a Microsoft Graph Explorer eszköz egy példányát.

2. Jelentkezzen be a forrásbérbe.

3. Hozzájárulás a következő szükséges engedélyekhez.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Ha megjelenik a Szükséges rendszergazdai jóváhagyási lap, be kell jelentkeznie egy olyan felhasználóval, aki a jóváhagyáshoz globális Rendszergazda istrator szerepkörrel rendelkezik.

5. lépés: Meghívások automatikus beváltása a forrásbérlében

Forrásbérl

PowerShell

1. A forrásbérlőben a New-MgPolicyCrossTenantAccessPolicyPartner paranccsal hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a forrásbérlő és a célbérlő között. Használja a cél bérlőazonosítót a kérelemben.

   Ha megjelenik a hiba New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, lehet, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Az Update-MgPolicyCrossTenantAccessPolicyPartner paranccsal automatikusan beválthatja a meghívókat, és letilthatja a kimenő hozzáférésre vonatkozó hozzájárulási kéréseket.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. A forrásbérlőben a Create crossTenantAccessPolicyConfigurationPartner API használatával hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a forrásbérlő és a célbérlő között. Használja a cél bérlőazonosítót a kérelemben.

   Ha hibaüzenet jelenik Request_MultipleObjectsWithSameKeyValue meg, lehetséges, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Request_MultipleObjectsWithSameKeyValue hiba.

   Kérelem

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   Válasz

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. A CrossTenantAccessPolicyConfigurationPartner API-val automatikusan beválthatja a meghívókat, és letilthatja a kimenő hozzáférésre vonatkozó hozzájárulási kéréseket.

   Kérelem

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   Válasz

   HTTP/1.1 204 No Content
   

6. lépés: Konfigurációs alkalmazás létrehozása a forrásbérlében

Forrásbérl

PowerShell

1. A forrásbérlőben az Invoke-MgInstantiateApplicationTemplate paranccsal vegyen fel egy konfigurációs alkalmazáspéldányt a Microsoft Entra alkalmazáskatalógusából a bérlőbe.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. A Get-MgServicePrincipal paranccsal kérje le a szolgáltatásnév azonosítóját és az alkalmazásszerepkör-azonosítót.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Inicializáljon egy változót a szolgáltatásnév-azonosítóhoz.

   Ügyeljen arra, hogy az alkalmazásazonosító helyett a szolgáltatásnév-azonosítót használja.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Inicializáljon egy változót az alkalmazásszerepkör-azonosítóhoz.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. A forrásbérlőben használja az applicationTemplate: instantiate API-t egy konfigurációs alkalmazás példányának hozzáadásához a Microsoft Entra alkalmazáskatalógusából a bérlőbe.

   Kérelem

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   Válasz

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. Mentse a servicePrincipalId fájlt.

   Ügyeljen arra, hogy az alkalmazásazonosító helyett a szolgáltatásnév-azonosítót használja.

3. Mentse az appRoleId fájlt.

7. lépés: A célbérlelőhöz való kapcsolat tesztelése

Forrásbérl

PowerShell

1. A forrásbérlében az Invoke-MgGraphRequest paranccsal tesztelje a kapcsolatot a célbérlőhöz, és ellenőrizze a hitelesítő adatokat.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. A forrásbérlében használja a synchronizationJob: validateCredentials API-t a célbérlelőhöz való kapcsolat teszteléséhez és a hitelesítő adatok ellenőrzéséhez.

   Kérelem

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   Válasz

   HTTP/1.1 204 No Content
   

8. lépés: Kiépítési feladat létrehozása a forrásbérlében

Forrásbérl

A forrásbérlében a kiépítés engedélyezéséhez hozzon létre egy kiépítési feladatot.

PowerShell

1. Határozza meg a használni kívánt szinkronizálási sablont, például Azure2Azure.

   Egy sablon előre konfigurált szinkronizálási beállításokkal rendelkezik.

2. A forrásbérlében a New-MgServicePrincipalSynchronizationJob paranccsal hozzon létre egy sablonon alapuló kiépítési feladatot.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. Inicializáljon egy változót a feladatazonosítóhoz.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Határozza meg a használni kívánt szinkronizálási sablont , például Azure2Azure.

   Egy sablon előre konfigurált szinkronizálási beállításokkal rendelkezik.

2. A forrásbérlében a Create synchronizationJob API használatával hozzon létre egy kiépítési feladatot sablon alapján.

   Kérelem

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   Válasz

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. Mentse a feladatazonosítót.

9. lépés: Hitelesítő adatok mentése

Forrásbérl

PowerShell

1. A forrásbérlében az Invoke-MgGraphRequest paranccsal mentse a hitelesítő adatait.

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. A forrásbérlében a szinkronizálási titkos kódok hozzáadása API-val mentse a hitelesítő adatokat.

   Kérelem

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   Válasz

   HTTP/1.1 204 No Content
   

10. lépés: Felhasználó hozzárendelése a konfigurációhoz

Forrásbérl

A bérlők közötti szinkronizálás működéséhez legalább egy belső felhasználót hozzá kell rendelni a konfigurációhoz.

PowerShell

1. A forrásbérlőben a New-MgServicePrincipalAppRoleAssignedTo paranccsal rendeljen hozzá egy belső felhasználót a konfigurációhoz.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. A forrásbérlőben az AppRoleAssignment engedélyezése szolgáltatásnév API-val rendeljen hozzá egy belső felhasználót a konfigurációhoz.

   Kérelem

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   Válasz

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

11. lépés: Igény szerinti kiépítés tesztelése

Forrásbérl

Most, hogy már rendelkezik egy konfigurációval, tesztelheti az igény szerinti kiépítést az egyik felhasználójával.

PowerShell

1. A forrásbérlében a Get-MgServicePrincipalSynchronizationJobSchema paranccsal kérje le a sémaszabály azonosítóját.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , …}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Inicializáljon egy változót a szabályazonosítóhoz.

   $RuleId = "<RuleId>"
   

3. A New-MgServicePrincipalSynchronizationJobOnDemand paranccsal igény szerint kiépíteni egy tesztfelhasználót.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. A forrásbérlében használja a Get synchronizationSchema API-t a sémaszabály azonosítójának lekéréséhez.

   Kérelem

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   Válasz

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. A forrásbérlében használja a synchronizationJob: provisionOnDemand API-t egy tesztfelhasználó igény szerinti kiépítéséhez.

   Kérelem

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   Válasz

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

12. lépés: A kiépítési feladat indítása

Forrásbérl

PowerShell

1. Most, hogy a kiépítési feladat konfigurálva lett, a forrásbérlében használja a Start-MgServicePrincipalSynchronizationJob parancsot a kiépítési feladat elindításához.

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Most, hogy a kiépítési feladat konfigurálva lett, a forrásbérlében a Start synchronizationJob API használatával indítsa el a kiépítési feladatot.

   Kérelem

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   Válasz

   HTTP/1.1 204 No Content
   

13. lépés: A kiépítés monitorozása

Forrásbérl

PowerShell

1. Most, hogy a kiépítési feladat fut a forrásbérlőben, a Get-MgServicePrincipalSynchronizationJob paranccsal monitorozza az aktuális kiépítési ciklus előrehaladását, valamint az aktuális statisztikákat, például a célrendszerben létrehozott felhasználók és csoportok számát.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. A kiépítési feladat állapotának monitorozása mellett a Get-MgAuditLogProvisioning paranccsal lekérheti a kiépítési naplókat, és lekérheti az összes előforduló kiépítési eseményt. Például lekérdezhet egy adott felhasználót, és megállapíthatja, hogy sikeresen kiépítették-e őket.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Most, hogy a kiépítési feladat fut a forrásbérlőben, a Get synchronizationJob API használatával monitorozza az aktuális kiépítési ciklus előrehaladását, valamint az aktuális statisztikákat, például a célrendszerben létrehozott felhasználók és csoportok számát.

   Kérelem

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   Válasz

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. A kiépítési feladat állapotának monitorozása mellett a List provisioningObjectSummary API-val lekérheti a kiépítési naplókat, és lekérheti az összes előforduló kiépítési eseményt. Például lekérdezhet egy adott felhasználót, és megállapíthatja, hogy sikeresen kiépítették-e őket.

   Kérelem

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   Válasz

   Az itt látható válaszobjektum rövidítve lett az olvashatóság érdekében.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Hibaelhárítási tippek

PowerShell

Hibajelenség – Nem megfelelő jogosultságokkal kapcsolatos hiba

Amikor megpróbál végrehajtani egy műveletet, a következőhöz hasonló hibaüzenet jelenik meg:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Ok

Vagy a bejelentkezett felhasználó nem rendelkezik megfelelő jogosultságokkal, vagy hozzá kell adnia a szükséges engedélyek egyikéhez.

Megoldás

1. Győződjön meg arról, hogy a szükséges szerepkörök vannak hozzárendelve. Tekintse meg a cikk korábbi előfeltételeit .

2. Amikor a Csatlakozás-MgGraph használatával jelentkezik be, győződjön meg arról, hogy megadja a szükséges hatóköröket. Lásd : 1. lépés: Bejelentkezés a célbérbe és 4. lépés: Jelentkezzen be a forrásbérlelőbe a cikk korábbi részében.

Hiba – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba

Amikor új partnerkonfigurációt próbál létrehozni, a következőhöz hasonló hibaüzenet jelenik meg:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Ok

Valószínűleg olyan konfigurációt vagy objektumot próbál létrehozni, amely már létezik, valószínűleg egy korábbi konfigurációból.

Megoldás

1. Ellenőrizze a szintaxist, és hogy a megfelelő bérlőazonosítót használja-e.

2. A Get-MgPolicyCrossTenantAccessPolicyPartner paranccsal listázhatja a meglévő objektumot.

3. Ha rendelkezik egy meglévő objektummal, előfordulhat, hogy frissítenie kell az Update-MgPolicyCrossTenantAccessPolicyPartner használatával

Hiba – Request_MultipleObjectsWithSameKeyValue hiba

Amikor megpróbálja engedélyezni a felhasználói szinkronizálást, a következőhöz hasonló hibaüzenet jelenik meg:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Ok

Valószínűleg olyan szabályzatot próbál létrehozni, amely már létezik, valószínűleg egy korábbi konfigurációból.

Megoldás

1. Ellenőrizze a szintaxist, és hogy a megfelelő bérlőazonosítót használja-e.

2. A beállítás listázásához IsSyncAllowed használja a Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization parancsot.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Ha rendelkezik meglévő szabályzattal, előfordulhat, hogy a felhasználó szinkronizálásának engedélyezéséhez a Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization paranccsal kell frissítenie.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Hibajelenség – Nem megfelelő jogosultságokkal kapcsolatos hiba

Amikor megpróbál végrehajtani egy műveletet, a következőhöz hasonló hibaüzenet jelenik meg:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Ok

Vagy a bejelentkezett felhasználó nem rendelkezik megfelelő jogosultságokkal, vagy hozzá kell adnia a szükséges engedélyek egyikéhez.

Megoldás

1. Győződjön meg arról, hogy a szükséges szerepkörök vannak hozzárendelve. Tekintse meg a cikk korábbi előfeltételeit .

2. A Microsoft Graph Explorer eszközben győződjön meg arról, hogy hozzájárul a szükséges engedélyekhez. Lásd : 1. lépés: Bejelentkezés a célbérbe és 4. lépés: Jelentkezzen be a forrásbérlelőbe a cikk korábbi részében.

Hiba – Request_MultipleObjectsWithSameKeyValue hiba

Amikor Graph API-hívást próbál kezdeményezni, a következőhöz hasonló hibaüzenet jelenik meg:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Ok

Valószínűleg olyan konfigurációt vagy objektumot próbál létrehozni, amely már létezik, valószínűleg egy korábbi konfigurációból.

Megoldás

1. Ellenőrizze a kérés szintaxisát, és hogy a megfelelő bérlőazonosítót használja-e.

2. Kérje a GET meglévő objektum listázását.

3. Ha már rendelkezik egy meglévő objektummal, ahelyett, hogy létrehozási kérést POST készítene, vagy PUT, lehetséges, hogy frissítési kérelmet kell küldenie a következő módon PATCH:

   • CrossTenantAccessPolicyConfigurationPartner frissítése
   • CrossTenantIdentitySyncPolicyPartner frissítése

Hiba – Directory_ObjectNotFound hiba

Amikor Graph API-hívást próbál kezdeményezni, a következőhöz hasonló hibaüzenet jelenik meg:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Ok

Valószínűleg olyan objektumot próbál frissíteni, amely nem létezik a használatával PATCH.

Megoldás

1. Ellenőrizze a kérés szintaxisát, és hogy a megfelelő bérlőazonosítót használja-e.

2. Küldjön egy kérést GET annak ellenőrzésére, hogy az objektum nem létezik-e.

3. Ha az objektum nem létezik, ahelyett, hogy frissítési kérést végezne, PATCHelőfordulhat, hogy létre kell hoznia egy kérést a következővel POST vagy PUTpéldául:

   • IdentitySynchronization létrehozása

Következő lépések

• A Microsoft Entra szinkronizálási API áttekintése
• Oktatóanyag: SCIM-végpont kiépítése és tervezése a Microsoft Entra ID-ban